王霖：數據犯罪的刑事歸責理論反思與數據持有權的刑法建構 | 政治與法律202604

【作者】王霖（貴州財經大學法學院副教授、法學博士）

【來源】北大法寶法學期刊庫《政治與法律》2026年第4期（文末附本期期刊目錄）。因篇幅較長，已略去原文注釋。

內容提要：數據作為數字社會中的新質生產要素需要刑法為其提供周延保護，既有刑事歸責圖景反映出數據犯罪治理路徑從侵害對象并合式保護向法益內涵獨立性構建的路徑轉型，但以“安全論”驅動的法益確立思路仍存犯罪對象模糊性、侵害方式局限性、結果限定差異性等歸責問題。對此，衍生于數據三權分置構型的數據持有權理念可以為數據犯罪的法益確定提供必要借鑒。通過數據持有權的“民刑銜接”與“刑法證成”，數據持有權的二元法益構造以一般性數據的競爭性利益與非競爭性利益為保護面向，并衍生出數據支配權與數據訪問權兩個子權類型，以對“破壞數據型犯罪”與“獲取數據型犯罪”形成歸責指引。數據持有權法益有助于數據犯罪的范疇厘清、彌合其歸責間隙、契合數據犯罪的預防性治理思維。以數據持有權為基礎完善數據犯罪的刑事歸責，需要在侵害對象層面對一般性數據類型進行正向識別與反向排除，以數據支配權與訪問權為依據展開實質違法性判斷，以保護法益與侵害對象的雙重考察消解數據犯罪與其他犯罪的“泛競合”趨勢，從而保障數據犯罪條文的獨立品格與實現其立法功能。

關鍵詞：數據犯罪；數據持有權；一般性數據；實質違法性；歸責完善

目次 一、數據犯罪的刑事歸責圖景：規制對象混疊與保護法益分立 二、數據犯罪刑事歸責的誤區反思與向度新解 三、數據持有權的民法向度與刑法證成 四、數據持有權基礎上數據犯罪的刑事歸責完善 五、結語

在由數據、算力、算法編織而成的數字時代，數據作為基本元素不僅成為連接虛擬與現實空間的重要紐帶，而且通過內容載體與價值表達功能呈現新質生產要素屬性。考慮到數據所具有的要素性、生產性、價值性面向，如何于規范層面肯定其權利屬性與實現路徑不僅涉及數據客體的保護性議題，而且關乎數據要素融入社會性流動并參與社會化生產的現實效果。基于此，數據權利的構建范式在得到民事學理廣泛關注的同時，亦需要通過數據犯罪的治理進入刑法視域。值得注意的是，面對數據犯罪的復雜樣態，源于刑法層面的罪名體系設置因素及其保護法益的理解偏差，數據犯罪的刑事歸責在學理與司法實踐層面仍存在諸多分歧，并隨著數字社會進程的推進而愈加擴大，這在一定程度上弱化了數據犯罪的規制效果。因此，在對既有數據犯罪刑事歸責誤區予以檢視的同時，還需因應數字社會的時代背景合理填充數據犯罪法益內涵，以實現法益的立法批判與規范解釋機能。在此過程中，數據權利的民法研討可以為數據法益的刑法定位提供有益支撐，“并順勢完成從民法新型權利保護到刑法犯罪評價的話語轉換”。在此意義上，數字時代的到來雖使傳統刑法的適用張力面臨挑戰，但也為新形勢下刑法治理范式的轉型革新提供了契機，而對數據犯罪保護法益的再詮釋將有助于數據犯罪治理方案的本土化、自主性構建。

一

數據犯罪的刑事歸責圖景：規制對象混疊與保護法益分立

數據本身具有價值多元與權利雜糅的特征，這使得以之為侵害對象的行為樣態于規范維度存在多元評價，并引發了歸責結論的差異化現象。特別是面對數字社會背景下數據形態的復雜化趨勢，為消解數據犯罪內部歸責類型、外部處罰邊界的認知分歧，學理層面也完成了從界分數據與信息內涵向證成數據法益專屬性地位的路徑轉型。回顧并檢視數據犯罪的刑事歸責圖景，將對歸責誤區的準確定位以及數據法益的妥當理解有所助益。

（一）侵害對象并合式保護下的“泛數據罪”歸責景象

雖然學理層面對于數據犯罪廣義、狹義的概念區分在一定程度上有助于典型數據侵害行為歸責類型的大致厘清，然而概念層面的限縮解釋嘗試未必帶來數據犯罪處罰范圍的同步收緊，在以數據本體作為保護對象的狹義數據犯罪與基于數據內容關聯的廣義數據犯罪之間，仍然存在邊界失準與競合混亂的現象。

1.信息保護范式下數據犯罪的適用擴張

作為數據犯罪刑法治理范式的一個前提性問題，在規范層面是否需要以及如何進行數據與信息內容的區分向來為學界所關注，并形成了“數據保護模式”與“信息保護模式”的分野。若從犯罪規制路徑與法益保護的權重來看，刑法圍繞信息內容構置的罪名體系更趨豐富，這似乎可以得出我國已基于實踐情況和刑法條文形成了以信息為中心的規制模式。的確，信息內容與數據載體相比更易鎖定個罪的法益內容，因此將不同場景下數據承載的個人信息、財產性利益、知識產權、商業秘密等具體內容作為刑法評價的重心自是立法技術上的優先選擇。“立法也將一些數據因其承載的信息內容具有刑法保護的必要性而規定了單獨的罪名并分布在不同章節中。”循此種邏輯，“信息保護模式”的刑法肯定理應壓縮數據犯罪的存在空間，然而司法實踐層面呈現數據犯罪“口袋化”擴張的另一番景象。一方面，數據與信息的區分不準引發數據犯罪與信息犯罪的邊界模糊，司法實踐存在將信息犯罪歸為數據犯罪處理的情形。從刑法信息保護模式審視數據犯罪與信息犯罪的適用邏輯，后者因保護對象的特殊性、明確性本應優先適用。然而，源于數據與信息的界限模糊與內涵誤讀，數據犯罪在司法適用中存在“前置化”傾向。除將侵犯網絡虛擬財產行為認定為數據犯罪之外，利用爬蟲抓取他人計算機系統內知識產權型數據、商業秘密型數據的行為也被作為數據犯罪處理。另一方面，數字社會背景下數據樣態多元化及其承載利益復雜化的現實趨勢，使得以信息內容為藍本設置的一般個罪面臨適用困境，數據犯罪的歸責范圍隨著其“堵截性”功能的司法放大而同頻擴充增長。如侵害Cookie記錄、網絡域名、統方數據等新型數據形態，數據犯罪之外的其他罪名無法將其充分涵攝。在回應司法實踐規制欲求與歸責不能引發的處罰間隙之間，裁判者更傾向于通過擴張數據犯罪對象的外延以實現刑事歸責的目的。此種處理導向在消解數據犯罪與其他犯罪類型化邊界的同時，也造成數據犯罪對以信息內容為保護對象的其他犯罪轄制領域的侵入。值得注意的是，數據內涵的模糊除引發數據犯罪外部歸責領域擴張之外，還可能導致數據犯罪內部歸責類型的混亂。盡管學理層面承認非法獲取計算機信息系統數據罪與破壞計算機信息系統罪第二款行為系狹義數據犯罪，但是將兩罪的數據對象做相同的“一般化”理解還是將后罪的數據對象與系統安全相掛鉤，司法實踐層面仍存分歧，這在一定程度上弱化了數據犯罪歸責類型的司法確定性。

2.數據分層邏輯下涉數據犯罪的競合泛化

相對于區隔數據與信息范疇以限定數據犯罪歸責領域的平面化思維而言，數據分層理論則表現為立體維度下數據與信息的整合性保護思路。因為數據與信息的區分前提是將二者預設為互異排斥的關系，數據分層理論則認為“同一個數據在不同的維度上具有不同層面的含義，針對的是相互關聯的不同層面的事項”。數據分層理論作為網絡技術面向下對數據切片化理解思路的統稱，雖然其內部又衍生出諸多分層方法，但強調數據與信息的“一體兩面”特性仍是其基本共識。數據分層立場旨在回應數據與信息界分思路所面臨的困境，特別是面對新型數據樣態與利益形態的復雜化，“在判斷行為對象方面，分離記錄信息的數據和信息本身十分困難”。因此，作為一種妥協方案，對二者予以并合式考察并進行一體化保護便成為一種理想的解題思路。數據犯罪之保護對象雖對應載體層的數據，為其映射的具體內容亦被刑法其他個罪所保護，但數據內容仍可視作數據的另一種呈現。這使得狹義數據犯罪所代表的本體性罪名與廣義數據犯罪所對接的功能性罪名并非相互排斥，“任何數據不法行為都可能同時觸犯本體罪名和功能罪名”。顯然，此種“整體性”的數據犯罪歸責思路將造成數據與信息內涵的重疊，并引發數據犯罪與其他犯罪競合關系的泛化。值得注意的是，近年來圍繞數據與信息區分以及數據犯罪與涉數據犯罪的歸責分歧，在學理層面通過競合理論予以回應的思路日漸盛行，“應提倡一種大競合論，只要構成要件間存在‘競合’關系，從一重處罰即可”。誠然，“大競合論”的處理方案通過規范評價層面的“求同存異”一定程度上弱化了個案裁判的罪名分歧，有利于填補司法實踐面向下因數據對象界分不清引發的歸責間隙。然而，明確個罪的構成要件以實現刑法罰則的清晰區分向來為罪刑法定原則所重視，況且“立法過程最基本的考慮就是‘是否周延而無漏洞’以及是否‘累贅重復而多余’”。反觀涉數據犯罪的競合論思考進路，其更傾向于將“數據”作為一般性的概念以試圖統攝多元化的個案情形，這在填補處罰漏洞的同時也可能抹拭個罪構成要件之間應有的類型化界限。通過數據與信息的簡單化約，并“依據想象競合直接適用傳統犯罪，狹義數據犯罪規范實際上被虛置”。在此意義上，個罪要件的理想設置與合理解讀應盡力避免歸責領域的交叉與重疊，“不同犯罪構成要件之間的對立關系更符合立法設想，也更有利于司法操作”。就此而言，數據犯罪與其他個罪的競合泛化不僅無益于前者處罰范圍的理性收縮，而且有消解其立法獨立價值的邏輯隱憂。

（二）數據法益獨立化進程下的歸責限縮檢視

考慮到單純于犯罪對象層面區分數據與信息或對二者一體化保護的做法難以有效回應數據犯罪的泛化趨勢，從法益立場出發以明確數據犯罪獨立品格與處罰范圍的思路成為一種學術共識。數據法益的合理確立無法脫離數字社會的宏觀背景而獨立展開，而源于觀察面向的差異，學理層面圍繞數據法益的理解亦形成諸種構型。

1.技術特征面向下的單層數據法益構造

數據作為“雙層社會”中的基本元素，通過與軟件系統、物理架構的關聯而成為犯罪對象、工具、載體。基于此種現實，以數據的技術特征與功能屬性作為觀察面向的數據法益確立思路為學者所重視，并形成了諸種單層法益構造理論。其中，數據秩序法益論立足數據載體的價值關聯功能，通過強調數據蘊含的信息、系統、網絡安全等保護需求，將其整體還原為數據秩序法益。然而，秩序型法益的建構邏輯向來為法教義學所警惕。雖然數據的多元面向使其擁有更強的包容性，但秩序型法益也“容易將純粹的經濟行政管制秩序納入刑事司法之中”，并因法益內核的空泛化而失去對數據犯罪解釋的說服力。因此，更多學者立足數據的技術特性來描繪靜態數據安全的刑法畫像，并將之作為數據法益的內核。“數據犯罪方式是數據安全風險在不同側面的類型化表達”，這使得以靜態數據的保密性、完整性、可用性填充數據法益內涵與秩序型法益立場相比更為明確。然而，忠實于數據客觀特性的刻板還原，使得靜態數據“安全論”指導下的狹義數據犯罪侵入了刑法對于信息內容的保護轄域。因為對于數據特性的上述理解也適用于信息內容的刑法保護，而后者正是廣義數據犯罪的轄制范圍，從而導致數據犯罪立法價值弱化以及與其他犯罪競合泛化等問題。為避免上述理論誤區，更多學者開始注重將前置法的數據保護邏輯與數據犯罪的刑法治理需求相銜接，并于動態數據安全立場上指出“‘數據安全’亦應指向計算機信息系統功能的實現”。應當承認，動態數據法益論將數據安全與系統安全相連接，一定程度上避免了數據法益內核稀薄化的問題，但其與已被學理廣泛詬病的從計算機系統安全角度理解數據犯罪的思路具有親和性，不僅隱含著使數據犯罪重歸計算機犯罪體系的邏輯缺陷，而且可能導致數據對象的狹隘化問題。總體而言，謀求數據犯罪法益的獨立化內涵是當前學理研討的共同目標，但倚重數據技術特征的形式化認知也使得既有研究存在法益內涵失焦、數據犯罪矮化等問題。

2.數據權能視角下的雙層數據法益構造

如何平衡個體自由與法益保護之間的價值張力是刑法介入社會治理的重要考量因素，這對數據犯罪問題同樣適用。數字生產力的形成需要妥善協調數據管理與數據流動的雙重訴求，將其投射于數據法益層面即是數據安全保障與數據權利維護的兼顧與平衡。因此，將二者予以一體整合以合理限定數據犯罪歸責范圍的雙層數據法益構造漸為學者關注。“數據之上存在的不是‘非此即彼’的單項法益，也不是‘不分彼此’的多元法益，而是‘先此后彼’的雙層法益。”需要說明的是，雙層法益構造論只是與上述思路對應的統括性立場，其又因考察面向的差異衍生出諸種下位學說，有將數據安全與數據自決權疊加整合的觀點，有將數據狀態性安全與數據利益類型綜合判斷的觀點，構建方式不一而足。上述觀點雖在數據法益的內容設置上存在差異，但將數據安全與數據權利予以體系化整合的做法仍為底層共識。相對于單層數據法益構造而言，雙層構造引入數據權利以限縮數據犯罪歸責口徑的做法更為新穎，然而數據安全與數據權利具有不同的評價重心，二者的價值張力加之數據權利內涵的不確定性使得雙層法益構造并非穩定。一方面，數據犯罪的刑事規制的確應協調好數據管理與數據共享之間的關系，但并非意味著對兩種不同的價值需求進行簡單堆砌，否則二者的內在缺陷與利益沖突無法得到實質性消解。另一方面，數據權利內涵的不確定性一定程度上削弱了雙層法益構造的穩定性。梳理既有雙層法益構造的典型觀點，在將數據安全作為共通的底層法益之外，上層法益仍存在新型權利與傳統權利之間的設置分歧。前者借助“數據自決權”或“積極利用權”等新型權利類型來表達數據法益的內容，后者則回歸財產權或信息利益等權利形態展開法益解讀。然而，不論是新型權利還是傳統權利均可能使數據犯罪滑向一般性罪名的適用，如數據自決權論者將之與個人信息權相嫁接，傳統權利論者則借助財產法益或其他法益進行說明，這使得雙層法益構造下的數據犯罪仍與侵犯公民個人信息罪、財產性犯罪、知識產權類犯罪等罪名相競合，數據犯罪的獨立立法功能并未得到法益層面的實質確認。就此而言，雙層法益設想雖好，但源于內在結構與權利內涵的設置缺陷使其難獲實益。因此，在堅守數據犯罪法益獨立化研究向度的同時，如何實現法益內涵的合理確定仍是學理與司法實踐需要直面的問題。

二

數據犯罪刑事歸責的誤區反思與向度新解

既有數據犯罪的刑事歸責圖景表明，從圍繞數據對象進行形式性考察轉向以數據法益為基礎的實質性判斷已經成為一種學術共識，并對數據犯罪的治理實踐產生影響。數據法益的獨立化進程有助于回應數據犯罪刑法條文于數字社會中的時代意義。然而，考慮到數據在數字生產力驅動與社會資源配置中的基礎性作用，“安全論”驅動的數據法益確立思路無法滿足數字社會的現實期盼，以之為基礎建立的數據犯罪歸責路徑亦存在一定誤區。因此，有必要循數據資源的功能屬性探索新的數據犯罪治理方案。

（一）“安全論”驅動下的數據犯罪規制缺陷反思

為使數據犯罪與其他個罪的轄制領域形成區別，單層或雙層數據法益論均關注數據本體的安全性，并將其作為確立數據犯罪法益內核的重要依據。此種物本邏輯思維使得當前主流的數據法益立場存在明顯的“安全論”導向，并在數據犯罪的刑事歸責過程中呈現犯罪對象模糊性、規制手段局限性、結果限定冗余性等問題。

1.犯罪對象模糊性：靜態數據安全理論引發數據保護范圍分歧

作為“安全論”驅動下的一種典型法益觀，靜態數據“安全論”主張將數據載體的保密性、完整性、可用性整體嵌入數據法益內核，以實現對數據不同側面的刑法保護。然而，考慮到數據與信息的“一體性”，對數據上述特性的保護一樣適用于信息內容，從而形成“數據安全被從屬于信息安全之下”的法益定位。這使得數據保護范圍面臨諸多分歧，并典型體現在公開數據的刑法保護問題上。梳理既有裁判，以“爬蟲第一案”為代表的類似判決體現出對獲取公開數據行為從民事侵權向刑事歸責的司法轉型。然而，司法裁判的入刑結論并未帶來學理層面的定分止爭。隨著爬蟲技術的泛化應用以及類似案例的持續增多，學界對于公開數據的刑法保護態度愈加割裂。否定論者認為既然靜態數據安全法益已將數據的機密性納入刑法的考量范圍，那么獲取公開數據的行為自應阻卻歸責，否則“將加劇數據資產的兩極分化現象，與數據反壟斷的公共政策需求背道而馳”。的確，刑法對于公開數據獲取行為的謙抑態度有助于防止刑法的工具主義傾向，但當前已公開的海量一般性數據仍可借助分析技術持續輸出高價值信息，況且數據處理者也對其投入了大量成本，將公開數據全然排斥于刑法保護范圍之外的做法有失片面。為避免處罰間隙，部分否定論者不得不對數據保密性另行解釋，認為“‘非公開’是對傳輸（通信）過程而非傳輸的數據定性”，獲取傳輸中的數據將會侵害數據的保密性。然而，絕大部分的公開數據并非于傳輸過程中被非法獲取，上述解釋無法回應當前獲取公開數據入刑的司法現狀與實踐邏輯，與其說是對數據機密性的迂回式擴張，不如說是通過保護數據傳輸過程的“秘密性”變相承認了公開數據的刑法保護必要。可以看出，已公開數據的刑法保護分歧不僅折射出以數據客觀屬性闡釋數據犯罪法益內涵的局限性，而且暴露出靜態數據法益論之上數據犯罪歸責范圍的界定困境。

2.侵害方式局限性：動態數據安全立場引發刑事歸責間隙

在對靜態數據法益論的實踐缺陷進行系統反思后，部分學者放棄了通過數據技術特性提煉數據法益的思路，轉而通過承接《數據安全法》等前置法的保護邏輯，將數據安全法益限定為“網絡環境中的數字序列能夠被有效保護、合法利用以及具備持續安全狀態能力的一種獨立利益類型”。較之靜態安全論，此一立場更關注數據全時性、流程性的動態安保需求，以維續數據在存儲、傳輸、使用中的安全環境。考慮到數據狀態性安全通常依附于計算機信息系統功能的正常運行，因此需要從系統安全維度對數據犯罪的侵害對象與實行行為進行必要限定。如就非法獲取計算機信息系統數據罪而言，動態數據“安全論”認為作為其保護對象的數據應與系統功能的安全性直接關聯，以區別于虛擬財產、個人信息等數據類型。然而，此種將數據法益與計算機系統安全綁定的做法不僅弱化了數據犯罪的獨立立法價值，而且會引發數據侵害行為的刑事歸責間隙。非法獲取計算機信息系統數據罪同時包括“系統侵入型數據獲取行為”與“其他數據獲取行為”，學理層面一般將后者理解為采用侵入以外的技術手段獲取他人計算機信息系統中存儲、處理或者傳輸的數據。司法實踐中以上述方式獲取數據的情形也非罕見，如公司離職人員利用原賬號下載公司系統數據的行為、使用AI撞庫技術獲取數據的行為等，上述行為并未使動態數據安全法益所對應的系統功能與數據安全狀態遭受侵害，因而無法被納入非法獲取計算機信息系統罪的歸責范圍，但這并不符合既有司法裁判的入罪立場。特別是當行為人以上述方式獲取的數據因不具備個人信息、知識產權、商業秘密等特性而無法為其他罪名所規制時，動態數據安全法益論將產生明顯的歸責間隙，“這顯然不論是在立法技術上還是在司法適用上，都違背刑法的基本原理”。

3.結果限定差異性：系統功能保護需求造成個罪歸責偏差

“安全論”驅動下的數據法益立場分歧不僅涉及數據犯罪概念的不同理解，而且關系著數據犯罪歸責路徑的差異化構建。如《刑法》286條破壞計算機信息系統罪第二款雖明確了刪除、修改、增加數據的行為類型，但是否要求行為造成計算機信息系統功能破壞的結果，數據安全法益論內部存在理解分歧，并映射于個案裁判中。靜態數據安全論者傾向于對系統破壞的結果性要件作形式化判斷，認為針對數據實施刪除、修改、增加的行為即已破壞數據的完整性、可用性，因此應忠實于法條表述對其入罪處理。如有判例將行為人利用系統漏洞復制、生成游戲裝備的行為認定為破壞計算機信息系統罪，理由在于涉案行為使大量游戲裝備流入游戲生態中，在改變系統數據的同時破壞了游戲系統環境與用戶體驗。然而，涉案行為并未破壞游戲系統的實際功能，盡管上述判決在形式層面盡力維護“系統破壞”的結果性要件，但其底層邏輯已然倒向了以數據三性為考察重心的靜態數據安全立場，形成了“破壞數據”等于“破壞系統”的歸責邏輯。與之不同，最高人民法院指導案例145號則體現出動態數據“安全論”的歸責導向，該案裁判要旨指出行為人“雖對目標服務器的數據實施了修改、增加的侵犯行為，但未造成該信息系統功能的實質性破壞”，因此不應被認定為破壞計算機信息系統罪。也就是說，數據安全法益并非僅指數據本身的安全，更在于被侵害數據所關聯的系統性安全。可以看出，“僅僅對數據進行刪除、修改、增加但沒有造成計算機信息系統不能正常運行的行為如何處理，已經在司法實務中陷入混亂”。系統功能破壞的結果性限定是否必要，靜態數據安全法益論與動態數據安全法益論在各自詮釋數據安全內涵的同時，也帶來了對結果性要件的不同理解，最終作用于司法實務引發類案異判。

（二）新構型的啟示：三權分置結構下一般性數據與持有權的對接

面對數字社會下數據對于傳統利益的承托以及新型價值的衍生，循數據流動過程并動態適配數據權利的思路在前置法領域得到持續關注。“數據三權分置背景下，以權利類型作為邏輯起點，以刑法法益作為跨法域連接要素，在規范保護目的價值引導下，會形成以典型數據法益作為保護對象的刑法規制領域。”因此，從“數據安全論”向“數據權利論”的研究范式轉型也許可為數據犯罪的刑法治理提供新的思路。

1.數據客體與數據權屬之間的動態匹配關系

區別于現實空間的物質性客體，數據于數字空間中呈現樣本虛擬、內容共享、價值多元等特性，這使其能夠映射出復雜的利益形態。對此，試圖將傳統權利模型套用于數據之上亦或尋求利用單一權利形態統攝多元數據價值的思路均面臨一定障礙。從數據的形成過程來看，個人、企業、政府等參與主體均可成為數據產生的來源，而數據的共享性決定了數據只有在持續流動中才能實現潛在價值的充分發掘，上述特質使得數據對應的利益內容與權利歸屬呈現動態匹配關系。在縱向流轉過程中，數據進行著從數據要素向數據產品的樣態轉型，與此同時，橫向維度上數據客體的外在變化也會帶來權利主體與權利類型的階段性更替。就此而言，權利視角下的數據客體與權利主體之間無法被設定為一成不變的鏈接關系，而應構建“以數據全生命周期為主線，在數據成長鏈條中漸次展開的由多個不同性質的產權所構成的動態運行體系”。此種數據對象與數據權屬之間的動態匹配關系已經得到數據公共治理層面的廣泛認同，并在一系列國家政策性文件中得到體現。2022年12月國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》）明確提出“建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”。上述三權分置結構中的數據客體與數據權屬呈種屬對應關系，此種動態包容的數據權屬確認思路不僅關注數據在流轉分享過程中的階段變遷，而且回應了循差異化的數據客體與歸屬主體分別配置數據權利的現實需求。因此，以各階段的數據形態為基礎分別適配不同的權利類型，便實現了從數據技術維度到數據價值維度、從數據客觀特性考察到權利內涵確認的邏輯銜接。

2.規范論立場上一般性數據的持有權保護理念

借助算法與算力的外部支持，數據比以往任何時候都更顯示出其對完善社會資源配置、提升國家治理效能的現實意義。因此，在數字社會的深度構建過程中，對于數據資源的有效整合與價值發掘更應注重從認識論層面深化數據利益的體系化分析，并最終于規范論層面完成數據權利的類型化構建。明晰的產權制度是進行資源市場化配置并實現帕累托最優的必要條件，數據權利的認知模糊與規范缺失無法為數據資源的有序流轉提供必要的支持。然而，遵循數據特性向數據權利的還原過程并非意味著偏重數據的控制性保護而忽視數據的共享性需求。數據產權的利益分配不應當是零和博弈，而應當是共贏機制，因此需要在數據確權的基礎上實現數據管理與流轉共享的整體平衡。

據此審視數據三權分置結構所蘊含的動態數據賦權理念，通過數據形態與權利類型的同步匹配，數據資源持有權奠定了數據權利體系的邏輯起點，并在數據資源向數據產品的躍遷過程中推動著數據權利類型的同步變化。“數據資源是知識生產和機器智能的原料”，其有別于已被類型化的個人信息、知識產權、商業秘密等數據形態，是有待進一步挖掘內容與析出價值的數據種類。海量數據資源的持續供給保證了數據算法的可靠度與數據產品的成熟性。數據資源作為一般性數據的概括，“在類型上不同于早期的系統內數據，不是指對線下已有信息的電子化呈現，或者對線下已有事實、概念的電子化描述”，圍繞其進行的匯集、整合、加工、分析將為后續數據價值挖掘與數據產品設計提供必要支撐。因此，區別于其他數據客體與權利類型，將數據資源所代表的一般性數據與數據持有權進行對接保護，是對數據實然特性與規范價值的雙重關照。以之為指引塑造刑法的數據法益內涵，與純然以“安全論”為導向的數據保護理念相比更為合理。一方面，“數據持有兼具事實與規范二重性”，數據持有權的塑造有助于存在論層面數據外部特性與規范論層面數據隱含價值的雙向銜接，避免了過往純然借助數據技術特征析出數據法益的形式化思維。另一方面，數據持有概念蘊含著有限控制與積極共享的融合性數據確權理念。相較之下，傳統的數據安全法益構造更偏向于通過控制數據客體以實現數據保護的效果，然而“控制模式忽視了數據的公共產品屬性，無法全面、有效保護數據法益”，這使其難以回應數據共享需求引發的刑事規制難題，弱化了刑法對于數字時代新型數據犯罪問題的解決能力。在此意義上，就數據犯罪治理而言，在刑法能夠提供保護的多個路徑中，優先解決數據權益保護問題至關重要。而以數據持有權為基礎推動“數據安全論”向“數據權利論”的治理范式轉型，將為數據犯罪的法益確立與歸責路徑構建提供新的視角。

三

數據持有權的民法向度與刑法證成

數據賦權模式的選擇不僅涉及對數據類型及其價值內涵的還原路徑，而且關乎數據控制與分享之間的利益平衡。《數據二十條》蘊含的三權分置結構有助于實現數據流轉系統中數據客體、利益主體、權利樣態之間的協調統一。然而，政策文本中的賦權理念并非等同于法規范層面的權利設定，數據資源持有權的實踐性意義尚需經歷法教義學的規范校驗與內涵充實方能實現。而作為數據權利的刑法保護面向，數據犯罪法益內涵的合理確立也應對數據權利的民法學理探討投以必要關注，并通過數據持有權的刑法證成實現對數據犯罪歸責問題的妥善應答。

（一）數據持有權的民法向度：弱控制基礎上的流動性需求

考慮到數據的存在形態有別于現實空間的物質性客體，以后者為藍本構建的權利模型無法套搬于數據之上，合理的數據賦權思路還應超越對傳統權利樣本的簡單臨摹，以探索契合數字社會維度的數據確權范式。因此，在肯定數據三權分置的基礎上，還應對作為數據權利體系基點的數據持有權予以內涵闡釋，從而為數據持有權的刑法嵌入提供理論支撐。

1.數據持有權的存在基礎與學理分歧

重視數據共享的意義并不意味著數據沒有確立歸屬與管理的現實需要，合理的數據控制不僅是對數據析出利益的有效保護，而且是持續推動數據流轉共享、加工使用、價值增長的內在動力。應當承認，數據控制與數據共享作為影響數據賦權模式建構的底層變量，二者的內在張力也通過差異化的考察面向呈現于數據確權的理論爭議中。其中，關注數據生產資料與信息資源屬性的學者更傾向于從控制性角度理解數據權屬，因此尋求數據的物權性保護為其所重視。反之，從數據生產要素特性出發回應數據流動性需求的學者則拒絕對數據進行物權化判斷，以避免可能引發的數據壁壘現象。在此背景下，《數據二十條》蘊含的三權分置理念則試圖擺脫數據確權的傳統爭執，回歸數據“持有”的事實性狀態以確立數據權利的衍生基礎。相較而言，此種擱置爭議并著眼現實的數據賦權理念更為務實。然而，作為對數據存在狀態的一種類權利描述，數據“持有權”在政策文本中的出現并不意味著其獲得了確定的法規范效力，更多的是“力圖賦予這種基礎事實一定的法律意義，并在此基礎上探索數據如何被分享和保護”。而從存在論層面的持有狀態向規范論層面的權利轉換過程中，數據持有權的內涵理解仍存在諸多分歧。有學者通過分析數據持有的效力面向，認為：“數據資源持有權在法律上應解釋為‘持有主體合法控制數據資源并免受非法干擾和攻擊的利益’。”注重數據共享性的學者則主張“以公平效率為原則，明確各個主體如何分享數據相關權益”的解讀思路。其實，上述數據持有權內涵的認知分歧，一定意義上仍可被視作傳統數據確權爭議在持有權塑造問題上的進一步延續，是數據控制性保護與共享性需要的對立體現。然而，塑造數據持有權的初衷即在于超越傳統權利范式，以形成數據管理與分享一體融合的新賦權進路。因此，在肯定數據三權分置理念合理性的基礎上，仍著眼于數據控制亦或分享的單一面向顯然不合時宜，數據持有權的構建必須回應數據多元價值的保護需求。

2.數據持有權的雙重利益面向

《數據二十條》蘊含的數據設權理念旨在跨越傳統數據確權立場的分歧，通過確立一種客觀的數據存在狀態并將其作為新的研討起點，于持有權角度全面回應數據控制與流動的差異化需求。“以數據資源持有權為初始數據‘母權’這一理解為邏輯起點”，持有權能夠且應當涵攝數據的不同利益形態并對其妥善安置。誠然，數據客體及其承載利益的復雜性增加了數據確權的實踐難度，但數據之上的多元利益形態仍可還原為“競爭性利益”與“非競爭性利益”兩種類型。前者代表著數據在客觀實態上能夠被排他支配與免于侵害的管理性需要，控制性手段是實現此種利益的直接方式；后者詮釋了數據共享的流動性需要，是數據形態變遷與價值發現的必要途徑。“既然數據之上既有競爭性利益又有非競爭性利益，那么數據持有的法律構造就應當具有二元結構”，以對兩種利益形態進行全面覆蓋。

一方面，數據的虛擬性、可復制性只是與實物對象相比的感官差異而形成的表象認識，借助計算機信息系統的物理性與功能性加持，數據本身也可獲得類似于實物控制的現實效果。與這種類物性、實控性相對應的便是數據的競爭性利益，他人擅自對數據客體進行刪除、修改、增加即是對上述特性的破壞，在改變數據存在樣態的同時侵害了數據的競爭性利益。因此，競爭性利益角度下的數據持有權可以表現為“權利人就其合法持有的數據集合排除他人侵害之權利”。另一方面，數據的可復制性使其能夠在被分享的同時維持初始樣本的穩定，并在后續流轉、加工過程中實現價值增溢。此時數據所承載的即是非競爭性利益，其更關注數據應以何種方式被合理獲取、訪問與共享。若他人擅自獲取數據，即便未改變數據的存在形態，仍然侵害了數據的非競爭性利益，與此種利益類型相對應的便是數據的訪問權。不過，考慮到數據持有者通常可以沒有障礙地行使訪問權，數據訪問權的設置主要在于考量如何為數據持有主體之外的第三人限定數據訪問的方式與范圍。就此而言，特定場景下的數據形態使得數據兼具競爭性利益與非競爭性利益，前者著眼于數據的實控性特征，后者關聯數據的共享性需要，而數據持有權恰是對兩種利益訴求的體系整合與全面回應。

（二）數據持有權的刑法證成：持有權法益的二元結構塑造

應當承認，民法領域關于數據持有權的探討深化了數據利益類型的學理認知，以之為起點構建數據資源持有權可以為差異化的數據利益面向提供一體化的保護方案。

循數據犯罪治理從“安全觀”向“權利觀”的范式轉型，數據犯罪保護法益的合理確定需要揚棄數據持有權的概念內涵與設權思路，通過數據持有權的民刑銜接與刑法證成，實現數據競爭性利益與非競爭性利益的一體化保護，以為數據犯罪歸責問題的化解提供新的思路。

1.破壞數據型犯罪：數據競爭性利益的支配權保護

考慮到數據的類物性與競爭性利益之間的映射關系，數據持有權的法益構造需要覆蓋數據的競爭性利益，并衍生出數據支配權作為數據持有權的子權利類型，以形成對“破壞數據型犯罪”的解釋功能。回歸刑法的數據犯罪體系，破壞計算機信息系統罪第二款因涉及刪除、修改、增加數據的行為而被學界納入狹義數據犯罪的討論范疇，其實行行為對應的即是對數據支配權指向的競爭性利益的侵害。一方面，數據破壞行為侵害的是計算機信息系統中存儲、處理、傳輸的數據形態，此時數據雖存在于虛擬空間之中，但其本身也具有類物特性，對其施加外力侵害將改變數據的存在方式與實際功能。雖然可以通過排除妨礙、恢復原狀等技術性手段盡力還原數據樣態，但其被改變、破壞的事實是無法否認的。況且，一定情形下的數據刪除行為也可使數據徹底損毀。因此，數據能以持有主體所意欲的方式穩定存續或自由支配應作為法律保護的內容，數據的類物特性需要避免不當的外力干涉。另一方面，數據持有主體對數據的控制力也是競爭性的。“針對一個特定的數據副本，一人實施更改、刪除或者增加的處理行為后，他人無法實施相同的處理行為。”數據持有主體能夠依托物理載體與系統功能對數據進行實力控制，這不僅向外界展示了持有者對數據的支配能力，而且釋放出禁止他人妨害持有者支配數據可能的信息。在此意義上，刑法之所以禁止他人擅自對數據實施刪除、修改、增加的行為，目的即在于維護數據持有者支配數據的效果。

2.獲取數據型犯罪：數據非競爭性利益的訪問權保護

數據的價值在于流動與使用，不同的數據活動參與者正是借助數據存儲、匯集、加工、使用活動推動著數據體量與價值的擴充增長，并實現數據元素向數據產品的質變轉型。從數據訪問權的形成邏輯來看，其派生于數據持有權并以數據的非競爭性利益為保護面向，這使得訪問權的設置須處理好數據使用層面的“利己”與“利他”關系，以避免數據“公地悲劇”與“反公地悲劇”問題的出現。因此，數據持有者雖通過控制數據客體而獲得了訪問數據的能力，但這只描述了數據訪問權的一個側面，還應為數據持有者外的第三人賦予合理的數據訪問可能，從而滿足數據共享性需要以實現數據訪問權的完整表達。基于數據非競爭性利益與數據訪問權的映射關系，數據訪問權可以對“獲取數據型犯罪”提供歸責指引。《刑法》通過設立非法獲取計算機信息系統數據罪以保護一般性系統內的數據對象，本罪構成要件雖涵攝“侵入型數據獲取行為”與“其他手段數據獲取行為”兩種類型，但二者均可被理解為對數據訪問權的侵害。一方面，源于數據持有者對數據的實控能力，其當然具有訪問數據的權利，除此之外的侵入系統或以其他技術手段擅自訪問、獲取數據的行為均是對持有者訪問權的侵害。如行為人以突破系統身份識別功能的方式訪問數據，或公司員工雖以正常方式登錄系統卻獲取超出其訪問權限的數據，二者表現方式不同但對訪問權的侵害是一致的。另一方面，數據的價值有賴于數據資源的充分流動，數據訪問權不僅需要滿足數據持有者的訪問需要，而且應關注第三者合理的數據獲取訴求，以避免數據壁壘現象。如歐盟已率先啟動數據訪問規則的規范性構建，并通過2024年《數據法案》完成了從單純強調數據產權性保護向同時注重數據訪問權構建的路徑轉型。數據訪問權的“利己”與“利他”邏輯有助于刑法確立合理的公開數據保護限度。因此，數據訪問權作為數據持有權法益的下位分枝，應被一體納入刑法中進行保護，并對“獲取數據型犯罪”提供歸責指引。

（三）數據持有權法益的功能優勢

數據持有權法益旨在從權利視角解讀數據犯罪的侵害本質，以消解既有“安全論”導向下的數據犯罪歸責問題。“數據持有奠基于持有者對數據的事實控制狀態，但數據持有并未止步于純粹事實層面，而是具有法律規范性的面向。”因此，從刑法維度合理闡釋數據持有權的理論面向，將有益于其個罪指導功能及實踐理性的實現。

1.數據持有權有助于數據犯罪的范疇厘清

當前，數據犯罪的歸責范圍擴張與競合泛化問題已經引發了學界的廣泛研討，從侵害對象界分向數據法益證成的視角切換雖有助于闡釋數據犯罪的立法邏輯，但“安全論”導向的數據法益立場仍然無法妥善化解數據犯罪的治理難題。原因即在于“安全論”法益立場并未形成具體的法益內核，無法為數據犯罪歸責范圍的明確化提供實質性指引。考慮到數字社會下數據負載利益的多元化，“數據安全”概念的強包容性使其難以對數據“載體安全”與“內容安全”進行準確區分，導致數據犯罪與其他犯罪之間的界限混淆。與之不同，數據持有權法益從數據對象與數據權利的動態匹配角度塑造數據犯罪的法益內核，有助于厘清數據犯罪的外部處罰邊界與內部歸責類型。一方面，持有權法益有助于實現數據犯罪歸責范圍的合理限定。司法實踐中廣泛存在單一數據侵害行為涉及多重法益類型的情形，過往學界多以競合論回應此種現象，這在造成數據犯罪與其他犯罪廣泛競合的同時，不當擴延了數據犯罪的處罰范圍。有別于“安全論”導向的數據法益確定思維，持有權法益將數據資源的持有狀態整合為數據犯罪的法益內涵，使數據犯罪的侵害對象被限定為一般性數據類型，從而在侵害對象與保護法益層面均區別于侵犯公民個人信息、網絡虛擬財產、知識產權等犯罪行為。另一方面，以數據的競爭性利益與非競爭性利益為保護面向，數據持有權法益衍生出數據支配權與數據訪問權兩種子權類型。前者旨在維持數據持有者對數據的現實管理狀態，以使數據能夠以持有者期望的方式存在；后者重在維護數據持有者的訪問權利，并合理關照第三人的數據訪問可能。數據持有權法益的二元結構能夠分別闡釋“破壞數據型犯罪”與“訪問數據型犯罪”的侵害本質，使數據犯罪的內部歸責類型得以明確。就此而言，由“安全論驅動”向“權利論主導”的法益轉型有利于數據犯罪歸責邊界的厘清。

2.數據持有權彌合了數據犯罪的歸責間隙

動態數據安全法益論的支持者將數據犯罪的侵害對象與計算機系統安全相捆綁，以避免靜態數據“安全論”片面關注數據載體特性所引發的法益稀薄化、歸責寬泛化問題。因為侵害數據載體與數據內容的行為均可被解讀為對“數據安全性”的破壞，這對區分數據犯罪與其他犯罪并無實益。然而，如果說靜態數據法益論的缺陷在于數據犯罪歸責范圍的寬泛性，那么動態數據法益論則可能導致歸責口徑狹窄化問題。如離職員工使用原公司系統賬號獲取大量公司采購、銷售數據，由于該行為并不涉及計算機信息系統的運行安全，若數據本身也不涉及個人信息、商業機密、虛擬財產等個罪對象或其承載法益，那么遵循動態數據法益論將無法以非法獲取計算機信息系統數據罪或其他犯罪處理，形成處罰間隙。類似的問題也出現在破壞計算機信息系統罪中，若行為人刪除、修改、增加的數據與系統功能并無關聯，且不涉及其他法益類型，將導致行為無法歸責。可以看出，動態數據法益論將數據對象與系統安全進行捆綁的做法雖限縮了數據犯罪的侵害對象，但也導致明顯的處罰漏洞。與之不同，數據持有權法益從數據權利角度理解一般性數據的持有狀態，使數據法益擺脫了對數據安全、系統安全的依附關系。由于數據持有權法益對應一般性數據的持有狀態，且蘊含數據支配權與訪問權兩個面向，因此當數據內容體現出個人信息、虛擬財產、商業秘密時，便應通過其他一般個罪進行刑事歸責。反之，則需結合一般性數據支配權與訪問權的內容指向，對一般性數據的侵害行為分別以非法獲取計算機信息系統數據罪或破壞計算機信息系統罪進行處罰。

3.數據持有權契合數據犯罪的預防性治理思維

“刑罰早期化與轉型中國社會的發展存在內在聯系”，在網絡社會與風險社會疊加共存的背景下，風險刑法觀推動的刑罰早期化已經成為刑法應對社會風險復雜化、逸散化趨勢的基本策略。因應風險社會下的刑法功能主義走向，數據持有權法益有利于說明數據犯罪蘊含的刑法預防性思維，即通過一般性數據的持有權保護以實現刑法對其他罪行的前置性治理。一方面，刑法只是將少量典型的數據類型納入個罪保護范圍，并從中抽象出具體的人格、財產、知識產權等法益內涵，除此之外的海量一般性數據并非上述個罪所欲保護的對象。然而，這并不意味著一般性數據沒有刑法保護的必要性，“因為即便是不含有特殊信息的一般數據，在大數據時代，也可以通過數據分析技術挖掘隱含在一般數據中的特殊數據，進而實施違法犯罪”。觀察數據犯罪向其他犯罪的異化鏈條，數據侵害行為通常位于其他犯罪的前端與上游，非法獲取的數據往往被用于實施詐騙、敲詐勒索、盜竊等下游犯罪。因此，將一般性數據的持有權作為數據犯罪的法益類型，有助于實現以治理數據犯罪間接預防下游犯罪的效果。另一方面，雖然數據犯罪與刑法持有型犯罪存在個罪構造差異，但通過規范持有行為以前置保護關聯法益的歸責邏輯是共通的。持有犯的個罪構造賦予了其危險犯的品格，這與數據持有權法益指引下的數據犯罪具有罪質層面的近似性。數據持有權法益旨在保護一般性數據的持有狀態，在禁止對一般性數據非法獲取、增加、修改、刪除的同時，可以實現對其他犯罪關聯的數據內容的刑法保護效果。在此意義上，數據持有權法益更有利于說明“‘數據犯罪的刑法定位系信息犯罪的前置化’的邏輯結論”，從而實現以數據犯罪預防下游其他犯罪的司法實踐效果。

四

數據持有權基礎上數據犯罪的刑事歸責完善

“數據犯罪的判斷邏輯起點是對數據權利屬性的判別”，這使得數據權利的界定與保護成為民法與刑法共同關注的課題。《數據二十條》提出的三權分置權利結構為數據權屬界定提供了新的視角與路線。作為三權分置權利體系的基礎，數據持有權立足數據資源的客觀持有狀態，通過關注數據競爭性利益與非競爭性利益的差異化保護面向，有助于在協調數據控制與分享的基礎上實現一般性數據的價值最大化。通過數據權利保護的民刑銜接與數據法益內涵的刑法證成，數據持有權可以為數據犯罪的理論闡釋與歸責完善提供新的視角與路線。

（一）侵害對象的廓清：一般性數據的范圍界定

個罪法益與侵害對象存在映射關系，侵害對象是保護法益的具象式呈現，保護法益是侵害對象的抽象化表達，模糊的法益內涵將導致個罪侵害對象的認知迷失。因此，以數據持有權法益錨定數據犯罪的侵害對象，并從“正向識別”與“反向排除”兩個層面明確一般性數據的范圍，將為數據犯罪歸責邊界的厘清提供基本指引。

1.正向識別：一般性數據的類型化判斷

在《數據二十條》的三權分置結構中，數據資源與數據持有權具有對接關系，持有權是對數據資源實控狀態的規范性塑造與權利化表達。數據資源內涵的包容性使其在學理層面存在不同理解，廣義的數據資源“泛指人類社會全部事物所呈現或所表述的運動狀態及其變化形式，具有抽象性、整體性和不可支配性”。此種界定方式注重把握數據資源的本質，是對其社會屬性與存在形態的概括性總結。然而，廣義的數據資源概念雖然實現了指涉范圍的最大化，但過于寬泛的外延也使其無法為與之關聯的持有權提供一個明確的基礎。因此，學理層面基于數據設權的需要更傾向于從狹義角度理解數據資源，認為數據資源持有權的“對象應當是能夠流通利用的一般數據”。應當承認，從一般性數據角度理解數據資源，是對其概念核心的準確把握，以之作為數據持有權的客體并納入刑法保護范圍，有助于數據犯罪保護對象的進一步明確，且與數據分類分級制度相契合。

《數據安全法》中的數據分類分級制度對于數據對象的刑法保護具有指引意義，特別是2024年出臺的《數據安全技術數據分類分級規則》（GB/T 43697-2024）（以下簡稱《數據規則》）從技術層面為數據分類與分級界定提供了實操指引。《數據規則》以行業領域、管理需要為依據在對數據進行橫向分類的基礎上，依據數據內容的重要性以及遭受侵害的危害程度構建了從核心數據到重要數據再向一般數據過渡的縱向數據分級體系，并于第6.5條C款將未識別為核心數據、重要數據的其他數據確定為一般數據。上述數據分類分級體系與刑法的數據保護思路具有一致性，且刑法更注重數據分類與分級的“一體化”與“融合性”保護。一方面，從數據分類角度來看，刑法確立了狹義數據犯罪與廣義數據犯罪的分類治理策略。后者關聯的數據對象因涉及不同的行業、領域而更為特殊，對此，《刑法》通過人格性、財產性、知識產權等法益內容對數據對象予以進一步明確，以區別于狹義數據犯罪對應的一般數據類型。廣義數據犯罪與狹義數據犯罪的分置安排是數據分類保護的刑法體現。另一方面，《刑法》對數據犯罪體系的設置也蘊含著數據分級保護的思維，反映了《刑法》對不同數據保護必要性的縱向差異，體現了數據對象與法益權重之間的對應關系。其中，一般性數據具有“數據要素”特性，是還未析出特殊、重要法益內容的數據類型，諸如醫院的統方數據、已公開的公交運行狀態信息、不體現個人信息的賬號或密碼等數據。與之不同，重要數據、核心數據負載的利益內容與法益形態更為具體，因直接關系國家、經濟、社會、個體利益的保護需求而被《刑法》以其他個罪形式呈現。在此意義上，《刑法》采取了將數據橫向分類與縱向分級進行一體整合的保護策略，而將一般性數據作為數據犯罪的保護對象，不僅有助于區隔數據犯罪與其他犯罪的侵害對象，而且可廓清數據犯罪的處罰范圍。

2.反向排除：一般性數據的要素性限縮

為實現數據資源持有權的類型化塑造，一般性數據的要素性特征被學者所關注，以使其區別于其他數據類型。一般性數據更接近于數據的初級形態，其“在數字經濟中的主要作用，不是給人們直接提供信息內容，而是給機器智能提供生產要素”。此種要素特性不僅決定了一般性數據與其他數據的類型化差異，而且要求刑法對二者進行區別保護。因此，為明確數據犯罪的處罰范圍，需要將具有要素特征的一般性數據與已被《刑法》其他個罪專屬性保護的數據類型相區分，并將后者從數據犯罪的侵害對象中排除。首先，一般性數據的“要素性”有別于公民個人信息的“可識別性”，后者是指“信息與信息主體存在某種客觀確定的關聯性、專屬性，包括直接識別性和間接識別性”。可識別性已經成為當前學理與司法實務層面認定個人信息的基本準則，通過發現數據與個人之間的特定聯系，有助于刑法對個人信息與一般性數據的區分保護。其次，一般性數據有別于體現財產性利益的虛擬財產型數據。虛擬財產型數據具有價值單邊性，“網絡虛擬財產在面對網絡用戶和網絡服務提供者時，呈現出兩種完全不同的價值形態：前者具有獨立的財產價值，后者則無”。因此，價值單邊性將使虛擬財產因持有主體的不同而在刑法層面形成差異化的性質評價。如就網絡游戲道具而言，當持有主體為運營商時其呈現出一般性數據的要素特征，在用戶側面則表現為財產性利益屬性。在侵害網絡游戲道具的案件中，真正承擔財產性損失的是用戶個體，網絡服務提供者更多關注的是正常的網絡服務秩序。最后，應將以數據形式存在的知識產權客體從一般性數據中排除。網絡技術的發展推動了知識產權客體的數字化轉變，衍生出諸如NFT數字藏品、游戲建模、網絡域名等新型知識產權客體。數據型知識產權客體具有明顯的“獨創性”特征，它不是對“現有產品的簡單重復，也非對現有事物的描述和記錄”。這使其區別于具有“要素性”特征的一般性數據。對于侵害具有“獨創性”特征的數據類型，應采取知識產權類犯罪的規制路徑，而非進入數據犯罪的歸責范圍。就此而言，一般性數據不具有“可識別性”“價值單邊性”“獨創性”特征，數據犯罪的侵害對象亦不應囊括體現個人信息、財產性利益、知識產權特性的數據類型，此種對數據犯罪侵害對象的反向排除有助于數據犯罪處罰范圍的限縮。

（二）實質違法性的考察：以數據持有權的二元結構為判斷錨點

循事實性描述向規范性塑造的設權邏輯，一般性數據的持有權類型可以通過民刑銜接內化整合為數據犯罪的保護法益，并最終作用于數據犯罪的刑法治理面向。將數據持有權作為數據犯罪的保護法益，是對侵害對象層面的“一般性數據”與法益層面“二元權利構型”的一體化整合，以之為基準考察數據犯罪的不法性，將有助于個罪的準確歸責與實踐問題的解決。

1.“數據支配權”下破壞數據型犯罪的違法性判斷

就《刑法》第286條破壞計算機信息系統罪第二款行為是否應造成系統功能破壞的結果，學理與司法實踐層面并未形成共識。若從數據持有權法益衍生的數據支配權角度審視，“后果嚴重的”罪狀表述不應被理解為對系統功能的破壞，而應被視作對一般性數據支配權的侵害性評價。一方面，本罪第二款在罪狀表述中并未將侵害結果限定為對系統功能的破壞，明顯區別于本罪第一、第三款的表述。誠然，底層數據代碼因涉及系統性框架，對其破壞會引發系統功能失常的結果，但其范圍遠小于由系統存儲、處理、傳輸之一般性數據的范圍。據統計，在因破壞數據而構成破壞計算機信息系統罪的司法判例中，犯罪對象為一般數據的案例占比高達68.6%。因此，如何保障一般性數據的存在狀態才是“破壞數據型犯罪”違法性判斷的重心，而這正是數據支配權的評價面向。若認為《刑法》第286條第二款的實行行為還需造成系統功能破壞的結果，不僅是對其罪狀表述的誤讀，而且會因數據對象的不當限縮解釋而形成數據犯罪的歸責間隙。因此，有必要在尊重《刑法》第286條第二款罪狀表述的基礎上，將其涵攝范圍限定為針對系統內部一般性數據進行非法刪除、修改、增加操作而損害數據支配權的行為類型。數據支配權解釋向度使破壞數據行為與損害系統行為得以分置評價，后者因關聯計算機系統安全法益而涉及《刑法》第286條第一、第三款罪行。因此，破壞計算機信息系統罪的保護法益系同時包括系統安全與數據支配權的復雜法益類型，二者分別針對系統破壞行為與數據破壞行為。“生活的需要產生了法律保護，而且由于生活利益的不斷變化，法益的數量和種類也隨之發生變化。”當前學理層面圍繞數據犯罪法益內涵形成的諸種結論時，很大程度上是為了實現既有數據犯罪罪名在數字社會背景下的適用張力，數據持有權的確立目的也不例外。從功能主義刑法解釋的角度來看，基于刑法解釋的體系性需要，“除特定的刑法法條內部需要保持協調外，不同的刑法法條之間也需要達成協調”。相對于單一的系統安全論而言，將系統安全與數據持有權整合為破壞計算機信息系統罪的法益內涵，不僅有助于在尊重刑法罪狀表述的基礎上回應數據破壞行為與系統破壞行為的差別性歸責需要，實現本罪內部行為的類型化區隔，而且有助于本罪與非法獲取計算機信息系統數據罪之間的邏輯協調，畢竟相對于單純獲取數據行為而言，對數據進行的非法刪除、修改、增加操作具有更高的違法性與可罰性。

上述刑事歸責思維在司法實踐中已有體現，如在“孫小虎破壞計算機信息系統案”中，被告人孫小虎盜用警用賬戶和密碼，多次登錄公安交通管理綜合應用平臺，非法刪除車輛違章數據1156條。該案一審、二審法院均將孫小虎的涉案行為認定為破壞計算機信息系統罪，且二審判決指出：“經原審被告人非法處理的車輛違章數據都存放于電腦系統中，只是數據處理的狀態發生了變化，由原來的‘未處理’變為‘已處理’，公安機關經請示省廳后隨時可以把相關數據恢復到未處理狀態以便于對違章行為作出處罰。”顯然，裁判說理隱含著行為人只是改變了系統內部數據的存儲狀態，而未對系統功能造成破壞的評價思維，這契合數據支配權向度下數據破壞行為的不法判斷邏輯。同時，將數據支配權作為破壞計算機信息系統罪的保護法益，也有利于消解司法實踐中對于干擾環境采樣數據行為的歸責分歧。如最高人民法院、最高人民檢察院《關于辦理環境污染刑事案件適用法律若干問題的解釋》第11條規定了針對環境質量監測系統實施且應以破壞計算機信息系統罪論處的行為類型，其第一項為“修改系統參數或者系統中存儲、處理、傳輸的監測數據”，第二項為“干擾系統采樣，致使監測數據因系統不能正常運行而嚴重失真”。顯然，上述第一項行為并未如第二項行為一般附加系統功能性損害的結果要件。此種差異化設定不僅是對《刑法》第286條第二款罪狀表述的忠實遵循，而且從側面反映出對破壞數據型犯罪保護法益獨立評價的必要。因此，將數據支配權納入破壞計算機信息系統罪的法益內涵，將有助于第二款行為擺脫“系統功能性損害結果”的羈絆，實現實行行為的類型化判斷、違法性的獨立化考察，在明確破壞數據型犯罪邊界的同時，消解司法實踐的認知分歧與歸責障礙。

2.“數據訪問權”下獲取數據型犯罪的歸責范圍界定

基于數據持有者的數據實控效果，數據持有權能夠衍生出數據支配權與數據訪問權兩個子權利面向，并對不同的數據犯罪類型具有解釋力。數據訪問權的確立有助于廓清非法獲取計算機信息系統數據罪的歸責范圍，并對刑法確立合理的公開數據保護限度提供理論指引。一方面，數據的虛擬性、可復制性使其無法套用線下實物客體的保護思路，因為后者并不會因他人的觀察、觸及而面臨管理失控、價值貶損之虞。數據則不同，“計算機系統的訪問經常作為獲取數據的預備行為，并且與此——幾乎是同時的——相關”。因此，獲取數據型犯罪的保護法益更應關注數據應以持有者所允許的方式被合理訪問，而非僅針對保密性數據，已公開數據也應被納入其保護范圍，且無需與計算機系統的安全性掛鉤，而這正是數據訪問權的規制面向。就我國《刑法》第285條規定的非法獲取計算機信息系統數據罪而言，司法實踐與學理層面之所以就單純訪問而未獲取數據的行為存在入罪分歧，大概在于陷入了數據安全論法益立場的個罪認知誤區，將數據安全與系統安全相掛鉤，以至于無法合理限定非法獲取計算機信息系統數據行為的客觀樣態。若從數據訪問權角度理解本罪，將有助于上述問題的化解。數據訪問權著眼于數據持有者對于數據訪問范圍、方式的限定，這使得獲取數據行為的現實危害將被前置于數據訪問環節進行評價。如司法實踐中將離職員工登錄原公司系統擅自下載公司數據的行為認定為非法獲取計算機信息系統數據罪，即是對數據訪問權的保護性確認，盡管該數據訪問行為并未造成系統破壞的結果。另一方面，數據訪問權有助于確定公開數據的刑法保護限度。當前隨著數據分析技術的發展以及數據共享性需求的增加，學理與實務層面對獲取公開數據行為的刑事歸責分歧愈加明顯。回歸數據訪問權的賦權邏輯，衍生于數據持有權的數據訪問權是對數據控制性事實與流動性需求的系統平衡，重在弱化數據控制可能引發的數據壟斷現象。從數據訪問權角度審視獲取公開數據行為的違法性，其實質標準還在于獲取行為是否突破了圍繞數據持有狀態所構建的技術保護措施，以避免將單純違背爬蟲協議抓取公開數據的行為予以歸責，“只有回避或突破計算機信息系統中代碼屏障的訪問才是非法的”。數據訪問權提供的此種實質違法性判斷基準與司法實踐的個案判決的邏輯相契合。如在“爬蟲入刑第一案”中，行為人使用偽造IP手段繞過目標服務器的訪問頻次限制獲取已公開數據，被以非法獲取計算機信息系統數據罪論處。而在“新浪微博訴飯友案”中，被告公司未經許可在其APP中完整展示新浪微博的公開數據，由于行為人并未使用突破技術防護機制的手段獲取上述公開數據，基于數據持有權平衡理念所對應的實質違法性判斷標準，被告公司僅承擔民事責任。因此，以數據訪問權作為非法獲取計算機信息系統數據罪的保護法益，有助于廓清本罪的構成要件類型，亦可為已公開數據的刑法保護限度提供參考基準。

（三）犯罪競合的消解：侵害對象與保護法益的雙重考察

數據犯罪侵害對象的認定泛化與數據法益內涵的模糊是當前推動數據犯罪競合論盛行的重要原因。一方面，多數學者將數據與信息的“一體兩面”關系作為分析基礎，使得侵害信息內容的行為也可被同時評價為對數據對象的侵害。因此以競合論處理此種情形即接近一種學理共識，并進一步形成想象競合與法條競合之分歧。另一方面，數據犯罪保護法益的形式化解讀也間接引發了數據犯罪與其他犯罪的競合。如數據安全法益著眼于數據保密性、完整性、可用性的刑法保護，然而此種數據特性也同樣適用于信息內容，導致數據犯罪與信息內容關聯的其他犯罪形成歸責重疊。因此，僅著眼于數據的載體功能而將其視為能夠包容各種信息內容的數據對象，或將數據法益理解為數據客觀屬性的規范化保護，那么數據犯罪必將在與其他犯罪的交叉、重疊中迷失定位，喪失其在立法層面上作為獨立犯罪類型的刑事規制功能。

區別于既有數據犯罪保護法益的確立思路，數據持有權衍生于數據三權分置的權利結構，通過民刑銜接與刑法證成后的數據持有權法益與一般性數據類型存在對應關系，這使得數據犯罪從侵害對象與保護法益層面根本區別于其他犯罪。一方面，數據持有權法益關注數字社會下大數據的保護與挖掘，一般性數據的要素屬性使其不同于個人信息、虛擬財產、知識產權、商業秘密等數據內容。另一方面，數據持有權作為數據持有狀態的規范性塑造，蘊含數據支配權與數據訪問權兩個子權面向，以對“破壞數據型犯罪”與“獲取數據型犯罪”形成解釋力。此種二元法益構造使得數據犯罪在保護法益與侵害對象層面均區別于其他犯罪。因此，數據犯罪存在一個專屬的刑事規制領域，“應當否定數據犯罪與信息類犯罪之間的競合關系”，數據犯罪與其他犯罪形成競合的可能性也較為有限。以數據持有權審視數據侵害行為，有助于擺脫“泛競合論”的思維誤區，實現數據犯罪歸責的精細化。如行為人非法獲取被害人游戲賬號密碼后將該賬戶內游戲道具轉移售賣的行為，過往學理與司法裁判通常將上述行為認定為非法獲取計算機信息系統數據罪與財產犯罪的想象競合。競合論的處斷方式實際上認同了獲取賬號密碼就等于獲取虛擬財產的評價邏輯。然而，這是對數據犯罪侵害對象、實行行為、法益類型的籠統性理解，并不符合數據犯罪獨立存在的立法旨趣與個罪歸責的明確性要求。因為實踐中大量存在行為人僅非法獲取、出售游戲賬號密碼但不轉移系統內虛擬財產的行為，且無法析出個人信息的賬號與密碼應評價為一般性數據，而非被認定為虛擬財產。因此，上述案例實際存在分別侵害兩種法益類型的兩個行為，也即侵害一般性數據（賬號與密碼）關聯的數據持有權行為與侵害虛擬財產（游戲道具）對應的財產性利益所有權（占有）的行為，此種犯罪本質使其具備數罪特征。誠然，考慮到實踐中獲取賬號密碼進而轉移虛擬財產的行為可能存在手段與目的之間的關聯性，以牽連犯論處將更為合適。雖然牽連犯與競合論最終均可能導向一罪論處的結論，但二者的分析路徑并非相同。且以數據持有權作為歸責基點更有利于使數據犯罪在侵害對象與保護法益層面區別于其他犯罪類型，推動數據犯罪歸責的精細化，這對刑法實現數據犯罪的立法獨立價值以及數據犯罪的治理功能具有積極意義。

五

結語

隨著數字社會建設進程的持續推進，數據資源已經成為參與社會底層構建、推動管理模式改革、加速新質生產力聚合的關鍵性力量。作為數字社會治理的重要組成部分，民法領域對于數據權利的學理探討可以為數據犯罪的刑法規制提供有益指引。循數據三權分置結構的賦權理念，經過“民刑銜接”與“刑法證成”后的數據持有權能夠被整合成為數據犯罪的保護法益，并形成蘊含一般性數據支配權與訪問權的二元法益結構。數據持有權的二元法益結構以數據控制與共享的動態平衡為底層邏輯，在將數據犯罪侵害對象限縮為一般性數據類型的同時，亦可完成對數據法益內涵的進一步充實，在侵害對象與保護法益層面實現數據犯罪與其他犯罪的區分。此種從“安全論”向“權利論”的法益立場轉型有助于回應既有數據犯罪的刑事歸責困境，為數字時代背景下數據犯罪的刑法治理提供新的參考向度。“技術、社會和經濟的革命迫使我們對社會秩序的道德基礎和法律基礎進行反思，對一些指導價值進行反思。”就此而言，面對數字時代下數據犯罪的新形態與刑法治理的新需要，數據持有權的解釋向度既是對傳統數據犯罪規制困境與法益立場的一種回顧性檢視，也是對數據犯罪刑事歸責路徑構建的另一種嘗試，通過法益維度內數據犯罪治理理念的革新，以期對數字時代背景下刑法可適用性的增強有所助益。

-向上滑動，查看完整目錄-

《政治與法律》2026年第4期目錄

【習近平法治思想研究】

1.共同富裕的民法促進

肖新喜

【主題研討——研究闡釋黨的二十屆四中全會精神】

2.《國家發展規劃法》實施背景下規劃法治化研究

江必新

3.“十五五”時期超大特大城市治理法治化的理念升級、制度創新與實踐突破

王東

4.金融賦能新質生產力的作用機理與法治進路

劉盛

【經濟刑法】

5.數據犯罪的刑事歸責理論反思與數據持有權的刑法建構

王霖

【專論】

6.算法參與法律規則生成的規范性危機與規制路徑

徐冬根

7.備案審查中合憲性判斷標準的體系構建與應用

陳斯彬

【爭鳴園地】

8.民事管理權立體構造論

張平華

【實務研究】

9.傳統文化融入司法說理的方法論檢視

呂思遠

10.認真對待表決前程序：股東會決議程序規則的反思與優化

吳維錠

《政治與法律》是上海社會科學院主管、上海社會科學院法學研究所主辦的，把政治學和法學融于一爐、以法學為主的理論刊物。《政治與法律》恪守“研究政法理論，推動法制建設”的編輯方針，設有“熱點問題”、“法學專論”、“經濟刑法”、“立法研究”、“學術爭鳴”、“案例研究”等欄目；積極推出國內外法學研究的最新成果。

點擊進入下方小程序

獲取專屬解決方案~

責任編輯 | 郭晴晴

審核人員 | 張文碩 韓爽

本文聲明 | 本文章僅限學習交流使用，如遇侵權，我們會及時刪除。本文章不代表北大法律信息網（北大法寶）和北京北大英華科技有限公司的法律意見或對相關法規/案件/事件等的解讀。